简介
nginx 是一个高效的 web 服务器,因为其独特的响应解决机制和低内存耗费,深得大家的青睐,并且 nginx 可和多种协定配合应用,而 HTTP2 协定又是一个十分优良的协定,如果将两者联合起来会产生意想不到的成果,明天咱们将会解说如何在 nginx 中配置 HTTP2 协定。
HTTP1.1 和 HTTP2
HTTP 的全称是 Hypertext Transfer Protocol,是在 1989 年 World Wide Web 倒退起来之后呈现的标准协议,用来在 WWW 上传输数据。HTTP/1.1 是 1997 年在原始的 HTTP 协定根底上进行的补充和优化。
到了 2015 年,为了适应疾速发送的 web 利用和古代浏览器的需要,倒退出了新的 HTTP/ 2 协定,次要在手机浏览器、延时解决、图像处理和视频解决方面进行了优化。
绝对于 HTTP1.1 来说,HTTP2 有如下几个长处:
- 应用多路复用技术,在同一个连贯中能够并行处理多个申请。
- 能够压缩 HTTP 头,缩小申请的大小。
- 数据传输格局是以二进制进行的,所以传输更加无效。
- 服务器能够向客户端推送数据,从而让应用程序能够解决更加简单的性能。
只管 HTTP2 并不要求应用加密,然而对于古代浏览器来说如 Google Chrome 和 Mozilla Firefox 默认 HTTP2 和 HTTPS 是一起应用的,所以如果你想配置 HTTP2 的话,还是须要同时配置 SSL。
装置最新的 nginx
在写本文的时候,nginx 最新的版本是 1.21.1。咱们能够从 nginx 官网上下载对应的编译好的文件,间接解压即可运行。或者能够下载它的源文件,手动进行编译装置。
如果你是在 mac 环境,能够间接应用 brew 命令来进行装置:
brew install nginx
装置结束之后会通知咱们一些有用的信息:
Docroot is: /usr/local/var/www
The default port has been set in /usr/local/etc/nginx/nginx.conf to 8080 so that
nginx can run without sudo.
nginx will load all files in /usr/local/etc/nginx/servers/.
To have launchd start nginx now and restart at login:
brew services start nginx
Or, if you don't want/need a background service you can just run:
nginx
这里就不一一具体解说了,感兴趣的敌人能够自行摸索。
开启 HTTP2 反对
从下面能够晓得,nginx 默认的配置文件是 /usr/local/etc/nginx/nginx.conf,关上该文件能够看到最初一行:
include servers/*;
所以咱们能够在 servers 中新建一个 www.flydean.com.conf 的文件作为明天要开启 HTTP2 反对的域名。
默认状况下,nginx 监听的端口是 80,如下所示:
listen 80 default_server;
listen [::]:80 default_server;
为什么会有两个 listen 呢?第一个 listen 指的是所有的 IPv4 连贯,第二个 listen 指的是 IPv6 连贯。
因为 HTTP2 须要开启 SSL 反对,所以咱们这里将其批改为 443,并且加上 http2 反对如下所示:
listen 443 ssl http2;
server_name www.flydean.com;
下面的配置中咱们还指定了 server_name,这就是要拜访的域名地址,这里咱们应用 www.flydean.com。
增加 SSL 反对
要想增加 SSL 反对就须要增加证书,一种形式是购买或者在网上有一些收费的 SSL 证书可用,如果只是在测试环境中的话,还能够生成自签名证书。
这里咱们介绍一下如何生的自签名证书。这里咱们应用 openssl 命令来实现这个工作。
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout selfsigned.key -out selfsigned.crt
Generating a RSA private key
执行实现下面的命令,会要求你输出一些证书的信息如下:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:SH
Locality Name (eg, city) []:SH
Organization Name (eg, company) [Internet Widgits Pty Ltd]:flydean
Organizational Unit Name (eg, section) []:flydean
Common Name (e.g. server FQDN or YOUR name) []:127.0.0.1
Email Address []:flydean@163.com
而后就生成了两个文件:selfsigned.crt 和 selfsigned.key。
这里略微解说一下自签名证书生成的命令。
openssl 是一个十分弱小的密钥生成工具,能够实现绝大多数的密钥生成工作。
req 示意的是这是一个 X.509 certificate signing request (CSR)。
-x509 示意咱们心愿生成的是一个自签名的证书。
-nodes 示意咱们不须要对生成的密钥进行明码加密。
-days 365 示意证书的有效期。
-newkey rsa:2048 示意应用 RSA 算法同时生成证书和 key,key 的长度是 2048。
-keyout: 指定 key 的生成门路。
-out: 指定证书的生成门路。
这里即便是应用了 SSL,为了保障平安,咱们还能够应用一项叫做完满的向前窃密的技术,这里须要生成 Diffie-Hellman group:
openssl dhparam -out dhparam.pem 2048
这个命令会须要一些工夫,生成之后,咱们就能够开始 nginx 的 SSL 配置了。
ssl_certificate ssl/selfsigned.crt;
ssl_certificate_key ssl/selfsigned.key;
批改加密算法
咱们晓得曾经存在很多加密算法,随着密码学技术的倒退,很多算法曾经被证实是不平安的。所以这里咱们须要对默认的加密算法进行批改。
默认的算法是:
ssl_ciphers HIGH:!aNULL:!MD5;
咱们将其批改为:
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
Diffie–Hellman 对音讯进行加密
尽管咱们应用 private key 配置了客户端和服务器端的加密连贯,在建设连贯之后,在 ServerKeyExchange 这一步,单方还会询问对信息的加密形式来用来构建加密通道。
ServerKeyExchange 的内容可能蕴含两种模式:
- 如果抉择的是 RSA 协定,那么传递的就是 RSA 构建公钥明码的参数(E,N)。咱们回忆一下 RSA 中构建公钥的公式:$ 密文 = 明文 ^E\ mod\ N$,只有晓得了 E 和 N,那么就晓得了 RSA 的公钥,这里传递的就是 E,N 两个数字。具体内容能够参考 RSA 算法详解
- 如果抉择的是 Diff-Hellman 密钥替换协定,那么传递的就是密钥替换的参数,具体内容能够参考更加平安的密钥生成办法 Diffie-Hellman
这里咱们抉择应用 Diffie–Hellman,还记得上一大节,咱们创立的 Diffie–Hellman 文件吗?这里间接应用即可。
默认状况下 Nginx 应用的是 1028-bit DHE (Ephemeral Diffie-Hellman) key, 这个比拟容易被破解,所以须要应用咱们本人生成的文件。
ssl_dhparam ssl/dhparam.pem;
重定向所有的 HTTP 申请到 HTTPS
默认状况下咱们拜访网站都是 HTTP 的,所以须要将 HTTP 申请重定向到 HTTPS:
server {
listen 80;
listen [::]:80;
server_name www.flydean.com;
return 301 https://$server_name$request_uri;
}
启动 nginx 并测试
好了,到此为止所有的 nginx 配置都实现了,咱们应用上面的命令测试 nginx 文件和启动:
nginx -t
nginx: the configuration file /usr/local/etc/nginx/nginx.conf syntax is ok
nginx: configuration file /usr/local/etc/nginx/nginx.conf test is successful
nginx
要拜访网站,还须要配置一下 host 将 www.flydean.com 指到你的 nginx server 上。
而后就能够拜访 www.flydean.com 了。
这里可能会呈现一个问题,如果你是自签名的证书,在 chrome 默认的平安环境中会认为这个证书是有效的,还须要将该证书退出证书的信赖链中。
怎么看出这个网站到底应用的那种协定呢?
关上浏览器的调试开关,到网络的 tab,点击拜访的页面,能够看到上面的内容:
能够看到版本是 HTTP/ 2 并且响应头带有 X -Firefox-Spdy h2。
总结
好了,你曾经能够配置一个完满的 HTTPS 并且反对 HTTP2 协定的网站了。祝贺!
本文已收录于 http://www.flydean.com/01-nginx-http2/
最艰深的解读,最粗浅的干货,最简洁的教程,泛滥你不晓得的小技巧等你来发现!
欢送关注我的公众号:「程序那些事」, 懂技术,更懂你!